Security Alert (update): NCSC waarschuwt voor internationale ransomware-campagne

Vrijdag 12 mei 2017, verscheen een bericht over Britse ziekenhuizen die getroffen zijn door cyberaanvallen waarvoor ransomware gebruikt is. Aan het begin van de avond heeft het NCSC hierover een waarschuwing in Nederland verspreid binnen de "vitale sectoren" zoals energiebedrijven. Ook ziekenhuizen zijn gewaarschuwd. De risico’s van ransomware voor organisaties zijn groot. Een medewerker klikt één verkeerde link aan en het hele bedrijfsproces ligt stil of de informatie ligt op straat. 

Insite-Security-Privacyrisico's

Vanuit onze rol als security adviseur brengen we je graag op de hoogte van dit nieuws om te voorkomen dat ook jullie organisatie hiervan de dupe wordt. Uiteraard helpen we je graag om de risico’s van ransomware om te zetten in kansen! Check onze uitgebreide ‘hands-on’ security update over het voorkomen van infecties met WannaCry en andere vormen van malware.

Wat is ransomware?

Ransomware en cryptoware zijn een populaire vorm van cybercriminaliteit, die steeds vaker door cybercriminelen en andere kwaadwillenden wordt gebruikt. Ransom­ en cryptoware is malware die ICT-systemen ‘gijzelt’ door ze niet beschikbaar te maken en om losgeld vraagt. Cryptoware versleutelt daarnaast de opgeslagen gegevens. Bekende cryptowarevarianten zijn CTB-locker, Cryptolocker, Cryptowall, Locky en Coinvault.

Malware wordt vooral via phishing (het ‘vissen’ naar inlog­ en andere gegevens van gebruikers) verspreid. Phishing­­mails zijn niet nieuw. Het is voor gebruikers vaak nauwelijks meer te herkennen. Vroeger zag je aan de spelfouten en de opmaak nog wel dat er iets niet in de haak was, dat is nu al lang niet meer het geval.

Hoe komt gijzelsoftware op mijn pc terecht?

Cybercriminelen lijken ransomware (gijzelingssoftware) op steeds grotere schaal te verspreiden. Ze richtten hun pijlen op diverse landen. Door een bijlage bij een document te openen wordt de ransomware gedownload. Bestanden op de computer worden geopend en versleuteld met als gevolg dat de informatie niet meer toegankelijk is. De ransomware waar het om gaat is ook in het Nederlands uitgebracht. Het bijzondere van deze ransomware is dat het zich niet via de mail verspreidt. WannaCry verspreidt zich als een virus via het netwerk.

Verspreiding Ransomware gestopt

De verdere verspreiding van grootschalige ransomware infectie is gestopt. Duidelijk is dat de massale cyber-aanval computers in 99 landen heeft geïnfecteerd. De aanval maakt gebruik, zo is het vermoeden, van software die is gestolen van de Amerikaanse geheime dienst NSA. Beveiligingsbedrijf Avast meldt dat we wereldwijd ruim 75.000 bestemmingen bekend als WannaCry, of varianten op die naam, zijn gedetecteerd. De aanval is vermoedelijk het werk van Noord-Korea. De Britse gezondheidszorg lijkt het ergst getroffen. De BBC geeft aan dat er ruim 40 instellingen zijn getroffen met geannuleerde operaties en afspraken als gevolg. Naast Britse ziekenhuizen zijn ook de Duitse spoorwegen en Franse autofabrikant Renault slachtoffer geworden. De schade in Nederland lijkt mee te vallen.

Ook Parkeerbedrijf Q-Park is getroffen door de wereldwijde cyberaanval. De Britse tak van het bedrijf heeft dat bekendgemaakt op Twitter. Ook op diverse plekken in Nederland hebben parkeergarages er last van.

Sandbox

WannaCry zal zichzelf in zijn huidige vorm niet meer verder verspreiden. Een beveiligingsonderzoeker deactiveerde, zonder dat hij hiervan op de hoogte was, de malware. WannaCry was voorzien van een slimme ‘feature’ om security bedrijven zoals F-Secure en Symantec om de tuin te leiden. Dergelijke bedrijven analyseren malware door allerlei ‘verdacht’ verkeer op te vangen en in een zogenaamde ‘sandbox’ uit te voeren. Een sandbox is een soort afgeschermde ruimte waarin de malware wordt uitgevoerd zonder dat er schade wordt aangericht. Wanneer in zo’n sandbox een bepaalde domeinnaam wordt aangeroepen, ook al bestaat deze niet, dan wordt deze gewoon uitgevoerd. Een normale computer geeft een foutmelding dat de domeinnaam niet bestaat.

Dit nu was precies wat WannaCry deed. Voordat de malware werd uitgevoerd, werd eerst gecontroleerd of er sprake was van een sandbox door een niet bestaande domeinnaam, www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, aan te roepen. Wanneer er geen foutmelding kwam, en er sprake was van een sandbox, werd WannaCry niet uitgevoerd. Toen een beveiligingsonderzoek de domeinnaam registreerde, zorgde, de zogeheten ‘killswitch‘ van de ransomware die ervoor zorgt dat de malafide software niet werd uitgevoerd en zichzelf niet meer naar andere computers verstuurde. Het probleem is nog niet structureel opgelost. Kwaadwillende kunnen de software opnieuw verspreiden zonder deze killswitch ‘feature’.

Microsoft bracht in maart al een update uit voor Windows die het beveiligingslek heeft gedicht waarvan WannaCry gebruikmaakt. Desondanks wist de malware wereldwijd op grote schaal computers te infecteren, omdat deze nog niet geüpdatet waren of op een verouderde versie van Windows draaiden. Het Amerikaanse techbedrijf bracht vrijdag daarom bij uitzondering ook een beveiligingsupdate uit voor het niet langer ondersteunde Windows XP om de kwetsbaarheid te dichten.

Hoe voorkom ik dat mijn gegevens gegijzeld worden?

  • Gebruik een goede virusscanner en lokale firewall.
  • Controleer de afzender van de mail.
  • Geef geen persoonlijke of vertrouwelijke gegevens door.
  • Controleer de link die in de mail is opgenomen.
  • Open niet zomaar een bijlage in de mail.
  • Neem bij twijfel contact op met de afzender van de mail.
  • Maak regelmatig een back-up van je gegevens (voor het geval je gegevens toch zijn gegijzeld).

We adviseren je deze informatie te delen met degene die binnen je organisatie verantwoordelijk is voor informatiebeveiliging. Heb je vragen over dit onderwerp, dan kun je uiteraard contact met ons opnemen via info@insitesecurity.nl.

Check ook onze uitgebreide ‘hands-on’ security update over het voorkomen van infecties met WannaCry en andere vormen van malware.

Informatie aanvragen

Meer artikelen

Bekijk al het nieuws